概要
本說明文件適用於已將 Microsoft 365 與 Access Control 進行同盟設定的客戶,說明如何解除 Access Control 與 Microsoft 365 的同盟,讓 Access Control 不再介入 Microsoft 365 的登入流程。
此外,若 Access Control 與 Microsoft 365 之間有進行使用者同步,請依照說明刪除相關設定,以停止同步。
注意事項
- 本文章內容係根據 2026 年 7 月時的產品規格撰寫,未來可能會有變更,恕不另行通知。
- 執行本步驟後,解除同盟可能需要一段時間。解除作業大約需 30 分鐘至 1 小時。
- 解除同盟後,請執行Microsoft 365 密碼重設。若您使用 Microsoft 的同步工具進行 Active Directory→Microsoft 365 的密碼同步,則無需執行此步驟。
- 解除同盟後,請從 Microsoft 365 的登入頁面登入。
- 請於各使用者的裝置上解除安裝 Secure Browser 應用程式及裝置憑證。即使未移除,對裝置不會有影響,但無法繼續使用。
- 執行定期同步或解除同盟作業時,需具備 Microsoft 365 全域管理員及 Access Control 全域管理員權限。
目錄
步驟
解除同盟
-
請從 Access Control 管理畫面進入[系統]-[連線的服務]。
-
於服務清單中,選取「顯示名稱」為[Microsoft]、「類型」為[Microsoft]的列。若無此項目,請前往解除同盟(PowerShell)。
-
選擇[同盟中的網域]-[管理網域]。
- 若顯示 Microsoft 365 的[要求的存取權限]畫面,請勾選[代表組織同意],並點選[同意]。若已完成驗證,選擇使用者後會進入下一畫面。
- 於[網域管理]畫面確認要解除同盟之網域的狀態,並依照對應步驟操作。
- 若為[已同盟](舊步驟),請從步驟 6 開始操作。
- 若為[已同盟],請從步驟 8 開始操作。
-
點選目標網域的[升級]。
-
於確認畫面確認內容後,點選[升級]。請確認狀態變更為[已同盟]。
-
點選目標網域的[移除]。
-
於確認畫面確認內容後,點選[移除網域]。請確認狀態變更為[未同盟]。
- 若有多個需解除同盟的網域,請重複上述步驟。
- 全部網域解除同盟完成後,請前往刪除同步服務。
解除同盟(PowerShell)
※若已與其他 IdP 服務進行同盟,請勿執行本步驟。
- 請確認 PowerShell 已安裝 Microsoft Graph PowerShell SDK 模組。請先完成下列文章的步驟。
安裝 Microsoft Graph PowerShell SDK -
啟動 PowerShell,並執行下列指令。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
- 會顯示登入對話框,請以擁有 Microsoft 365 全域管理員權限的帳號登入。
-
執行下列指令,確認網域資訊。請確認使用中網域的「AuthenticationType」為「Federated」。
Get-MgDomain
-
執行下列指令以解除同盟。解除後,Microsoft 365 內部設定反映可能需一段時間,期間可能仍會出現單一登入行為。
Update-MgDomain -DomainId [您的網域] -AuthenticationType "Managed"
-
執行下列指令,確認網域資訊。請確認步驟 5 解除同盟的網域「AuthenticationType」已變更為「Managed」。
Get-MgDomain
-
執行下列指令,從 Microsoft Graph 中斷連線。
Disconnect-MgGraph
- 刪除同步服務。
刪除同步服務
Access Control 與 Microsoft 365 之間有定期同步時
- 請停止 Access Control 與 Microsoft 365 之間的定期同步。詳細請參考下列文章。
Access Control 停止與 Microsoft 365 的定期同步步驟
Active Directory 與 Access Control 之間有同步時
請於安裝 HENNGE One 同步服務的 Windows 伺服器上,依下列步驟操作。
- 解除安裝 HENNGE One Directory Sync。請於[控制台]-[程式與功能]清單中解除安裝下列程式。
HENNGE One Directory Sync x.x.x - 刪除 HENNGE One Directory Sync 相關檔案。請手動刪除「C:\Program Files\HENNGE One Directory Sync」資料夾及其下所有檔案。
- 刪除 HDEOne 資料夾下的檔案。若存在「C:\HDEOne」資料夾,請手動刪除該資料夾及其下所有檔案。
-
解除安裝 HDEPasswordFilter.dll。請以管理員身分啟動 PowerShell,並執行下列 PowerShell 指令。
移動至安裝程式所在資料夾的指令範例
cd <Installer_HDEOnePasswordSync 資料夾路徑>解除安裝 HDEPasswordFilter.dll
powershell -ExecutionPolicy Bypass -File .\uninstall.ps1參考(安裝步驟):[Access Control] 於所有網域控制器安裝 HDEPasswordFilter.dll(WS 2016 以後)
刪除 HENNGE 自訂網域
若您先前已在 Access Control 中建立並使用 xxxx.myhennge.com 子網域,請按照以下步驟刪除該自訂網域。
[HENNGE One Launcher] 自訂網域的刪除步驟
Microsoft 365 密碼重設
說明如何批次重設 Microsoft 365 密碼。
※若 Active Directory→Microsoft 365 有進行密碼同步,則無需執行此作業。
※請務必將每個指令以單行執行。
執行本步驟前,請確認 PowerShell 已安裝 Microsoft Graph PowerShell SDK 模組,並已完成下列文章內容。
安裝 Microsoft Graph PowerShell SDK
- 於 C 槽下建立「temp」資料夾。請於作業用電腦的 C 槽下建立「temp」資料夾。
-
使用 Microsoft Graph PowerShell 登入。請於 PowerShell 執行下列指令。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
會顯示登入對話框,請以擁有 Microsoft 365 全域管理員權限的帳號繼續登入。
- 取得使用者清單。請執行下列指令,並匯出使用者清單。僅匯出 User Principal Name 非「*.onmicrosoft.com」的使用者。
Get-MgUser -All | where { -not ($_.userprincipalname-like"*.onmicrosoft.com")} | select UserPrincipalName | Export-Csv c:\temp\volunteers.csv -NoTypeInformation- 請於使用者清單 CSV 中手動刪除會議室等非密碼變更對象的帳號資訊。於「c:\temp」資料夾內的 CSV 檔案(volunteers.csv)中,手動刪除不需變更密碼的帳號。
- 批次變更密碼。請依序執行下列指令。
$params = @{
PasswordProfile = @{
ForceChangePasswordNextSignIn = $True
Password = "XXXXXXXX"
}
}
Import-Csv c:\temp\volunteers.csv | where{Get-MgUser -UserID $_.UserPrincipalName; Update-MgUser -UserID $_.UserPrincipalName -BodyParameter $params }每位使用者於 Microsoft 365 登入後需變更密碼。所有使用者將設定為相同密碼。請將上述指令中的 "XXXXXXXX" 替換為初次登入密碼。
密碼設定規範:Azure AD 密碼原則(外部連結)
由於 Microsoft 365 認證快取機制,Outlook 等用戶端應用程式可能不會立即顯示認證對話框。
- 從 Microsoft Graph 中斷連線。請執行下列指令以中斷連線。
Disconnect-MgGraph
使用[Connect-MgGraph]指令時,下次啟動時不會要求登入,會保留上次的認證資訊。為確實中斷登入,請執行[Disconnect-MgGraph]。
刪除企業應用程式
請進入 Microsoft 365 管理中心。
於左側選單點選[ID],進入 Microsoft Entra 管理中心。
開啟[Entra ID]-[企業應用程式]。
於右側顯示的應用程式清單中,點選「HENNGE Access Control Federation Configuration」。
於左側選單點選[管理]-[屬性]。
於屬性畫面上方選擇[刪除],並點選[是]。
解除其他 SSO 服務
若 Access Control 除 Microsoft 365 外,還有與其他服務進行單一登入(SSO),請執行 SSO 解除作業。可於 Access Control 管理畫面的[連線的服務]確認對象。SSO 解除作業需於連線的服務供應商(SP)端執行。詳細解除方式請洽各 SP 支援窗口。
設定已完成。
完成作業後,請聯絡 HENNGE One 技術支援。